ايتنا - خواب خطرناک بانک مرکزی برای رمز یک بار مصرف!

حدودا یک سال است که بانک مرکزی در پی یک بار مصرف کردن رمز دوم کارت‌های بانکی است. ولی تاکنون موفق نشده و به رغم مهلتی که تا اول خرداد ۹۸ برای بانک‌ها تعیین کرده بود، آن چه از نقطه دید کاربران شبکه بانکی دیده می‌شود، پیشرفت اندک این پروژه و اجرایی نشدن آن است. آیا واقعاً موانع فنی جلوی پای بانک مرکزی و شبکه بانکی است؟ یا منافع کسب و کاری برای بانک مرکزی و شرکت‌های اقماری‌اش مطرح است؟

شنیده‌ها حاکی از آن است که اخیراً شرکت‌های پرداخت PSP و شاپرک، در جلساتی به دعوت بانک مرکزی شرکت کرده و سناریوهایی برای اجرای پروژه OTP (یا One Time Password) را طی می‌کنند که حتی بانک‌ها هم در آن حضور ندارند. اطلاعاتی که از این جلسات به دست آمده نشان می‌دهد که بانک مرکزی در تدارک یک سامانه متمرکز دیگر برای رد و بدل کردن رمزهای یک بار مصرف است، راه حلی عجیب و غیرمنطقی که حدس‌هایی در مورد انگیزه منفعت طلبانه این بانک از پیاده‌سازی این راهکار را پررنگ‌تر می‌کند.

در این رابطه بیشتر بخوانید:
- اجرای رمز دوم یک‌بار مصرف به تعویق افتاد

در این یادداشت، ضمن تحلیلی از وضعیت موجود و تخمینی از بازار تراکنش‌های OTP، مدل معماری پیشنهاد شده توسط بانک مرکزی ارائه شده است، تا ضمن بحث و بررسی دقیق، آگاهی لازم برای مخاطبان عام و اختصاصی حاصل شود.

اندازه بازار چقدر است و لزوم رمز دوم یک بار مصرف چیست؟
حدود ۴۰۰ میلیون کارت در کشور صادر شده است و آمارها نشان دهنده فعال بودن ۹۰ میلیون کارت در ایران است. حجم تراکنش‌های الکترونیکی در شبکه شتاب حدود ۴۰ میلیارد در سال ۹۷ بوده است که ۲۱ میلیارد تراکنش به پرداخت الکترونیک اختصاص دارد. یعنی هر ایرانی بالغ به طور متوسط سالانه بیش از ۸۲۰ تراکنش پرداخت انجام می‌دهد.

این آمار مربوط به سال ۹۷ است و تعداد تراکنش‌ها سالانه بین ۲۵ الی ۳۰ درصد رشد با خود به همراه دارد. حجم تراکنش‌های پرداخت الکترونیک از لحاظ مبلغ نیز قابل توجه است و به ۲۵۰۰ هزار میلیارد تومان در سال می‌رسد که حتی بیش از حجم نقدینگی کل کشور است. تراکنش‌هایی که بر بستر درگاه‌های امن مانند کارتخوان و خودپرداز انجام می‌شوند ۲-عاملی هستند. یعنی برای انجام تراکنش داشتن ۲ فاکتور شماره کارت و رمز اول کافی است.

البته غیر از رمز اول مابقی اطلاعات تراکنش، مانند نام و نام خانوادگی، شماره کارت، CVV2 در قسمت مگنت کارت‌ها ذخیره شده که دستگاه پذیرنده اطلاعات را از آن واکشی می‌کند. البته باید اذعان کرد که تکنولوژی کارت‌های مغناطیسی از امنیت کافی برخوردار نیست و یک نوع از تقلب که در ایران شاهدش هستیم، سرقت اطلاعات ضبط شده در مگنت کارت‌ها است. در تراکنش‌هایی که اصطلاحا نامCNP (یا Card Not Present) دارند، ۴ فاکتور برای انجام تراکنش لازم است که شامل شماره کارت، رمز دوم (۴ تا ۸ رقم)، CVV2 و تاریخ انقضای کارت است. از بین این ۴ پارامتر، تنها پارامتری که روی کارت حک نشده و تنها در حافظه مشتری ذخیره شده است، رمز دوم کارت است. منشا بسیاری از سرقت‌ها و سو استفاده‌ها، ناشی از لو رفتن رمز دوم کارت مشتریان است. بنابراین چنانچه در تراکنش‌های CNP بتوان رمز دوم را به صورت OTP تولید کرد، امنیت این نوع تراکنش‌ها تا حد قابل توجهی افزایش می‌یابد.

آمارهای منتشر شده در گزارش اقتصادی شرکت شاپرک نشان می‌دهد که در سال ۹۷، حدود ۶ درصد از تراکنش‌ها بر بستر اینترنت و ۶ درصد بر بستر موبایل انجام شده است. بنابراین به صورت بالقوه ۱۲ درصد از تراکنش‌های شبکه پرداخت یعنی ۲٫۵ میلیارد تراکنش سالانه که بدون حضور کارت و با ۴ فاکتور انجام شده‌اند را می‌توان با ابزار OTP ایمن کرد. البته شنیده‌ها حاکی از آن است که فاز نخست OTP ناظر بر تراکنش‌های بدون حضور کارت و در واقع تراکنش‌هایی است که با رمز دوم انجام می‌شوند.

در دنیا چه کرده‌اند؟
در دنیا، رمزهای پویا می‌تواند بر بستر کارت، پیامک، ایمیل و یا اپلیکیشن موبایل تولید شود. البته لازم به ذکر است که چیزی به عنوان رمز دوم در سیستم‌های پرداخت بین المللی وجود ندارد. در واقع آن چیزی که به صورت پویا تولید می‌شود، کد CVV2 یک بار مصرف است نه رمز! زیرا رمز اساسا باید توسط مشتری محفوظ مانده و یا امکان تغییر آن وجود داشته باشد و صدور رمز توسط یک سامانه و ثابت بودن CVV2 کارت‌ها از ابداعات سیستم بانکی ایران است! فراگیرترین روش در بین مردم استفاده از پیامک و همچنین تولید و نمایش رمز در اپلیکیشن موبایل است.

بانک مرکزی چه مسیری را می‌رود؟
آنچه مورد انتظار برای پیاده‌سازی پروژه OTP بود، اجرای این پروژه در سمت بانک‌ها بوده است. بانک‌ صادرکننده می‌تواند در لحظه انجام تراکنش، در پاسخ به درخواست رمز دوم را که مشتری از طریق اپلیکیشن به بانک ارسال می‌کند، رمز دوم یک بار مصرف را به طرقی که بالاتر گفته شد، برای مشتری ارسال کرده و مشتری این رمز را در درگاه پذیرش تراکنش وارد کرده و تراکنش با موفقیت انجام شود. در واقع این مکانیزم مشابه آن چیزی است که در OTP اپلیکیشن‎هایی مانند گوگل، واتساپ و تلگرام نیز پیاده شده است. بنابراین مشتریان نیز تجربه کاربری خوبی از کار کردن با این گونه رمزها دارند و برایشان آشناست. حال آنکه شنیده‌ها از فعالان صنعت پرداخت، حاکی از مسیری دیگری است که بانک مرکزی ابداع کرده است و پیگیر پیاده‌سازی آن در سمت PSP هاست.

بانک مرکزی در جلساتی که با شرکت‌های پرداخت برگزار کرده، مدلی را که توسط شرکت خدمات انفورماتیک پیشنهاد شده است را معرفی کرده و شرکت‌های PSP در حال اجرای این پروژه هستند. در این مدل، مشتری درخواست رمز یک بار مصرفش را از طریق درگاه پرداخت، به سمت شرکت PSP فرستاده و سوییچ شرکت پرداخت این درخواست را همراه با اطلاعات پذیرنده و مبلغ تراکنش به سمت سوییچی به نام SHETAB VAS ارسال می‌کند. این سوییچ مبهم احتمالاً توسط شرکت خدمات برای بانک مرکزی توسعه داده خواهد شد یا به نوعی از سرویس‌های شتاب برای ارسال تراکنش به سوییچ‌های بانک‌های صادرکننده استفاده می‌شود. بانک نیز با یک الگوریتم مشخص که برای تولید رمز استفاده می‌کند و در آن با توجه به مبلغ تراکنش، رمز یکتایی برای مشتری ایجاد می‌شود. این رمز از طریق کانال‌هایی مانند SMS، Email و Call center برای مشتری ارسال و مشتری در درگاه پرداخت وارد می‌کند. دیاگرام شکل زیر، جز مستنداتی است که بانک مرکزی در جلسات خود برای شرکت‌های PSP ارائه کرده و به وضوح مسیر ارسال و دریافت پیام در مدل پیشنهاد شده را نشان می‌دهد.

بانک مرکزی به دنبال چیست؟
این طرح از منظر فنی مشکلاتی دارد که باید به آن توجه شود. هرچند از جزییات فنی و پیاده‌سازی آن اطلاع دقیقی در دست نیست ولی همان طور که در معماری مشخص است، یک سیستم متمرکز به تمام سیستم‌های متمرکز بانک مرکزی اضافه شده و اشکالات همه سیستم‌های متمرکز را دارد. من جمله، ریسک‌های عملیاتی که متوجه آن است. تمام تراکنش‌های رمز یک بار مصرف کشور باید از یک سامانه جدید عبور کنند و چنانچه اختلالی در این سیستم رخ دهد، خطر جدی کسب و کاری، عملیاتی و امنیتی را متوجه مشتریان می‌کند. ضمن آنکه، فعلاً تراکنش‌هایی که مشمول این طرح هستند، درصد بالایی از تراکنش‌های کشور نیست ولی با توجه به برنامه‌های بانک مرکزی، برای یک بار مصرف کردن تمام رمزهای شبکه کارت، سربار عملیاتی زیادی متوجه سامانه‌های متمرکز موجود در بانک مرکزی خواهد شد. زیرا به ازای هر تراکنش، یک پیام اضافه باید رد و بدل شود و این به معنای ۲ برابر شدن ترافیک شبکه است.

اما واقعاً بانک مرکزی و شرکت پیمانکارش به دنبال چه هستند؟ تجربه سال‌های اخیر نشان می‌دهد که بانک مرکزی برای سرویس‌های جدید، اقدام به تولید و راه اندازی یک سامانه متمرکز کرده و تمام شبکه بانکی و پرداخت را عموما به بهانه‌های تأمین امنیت، وادار به استفاده از آن کرده است. سپس درآمدهای کارمزدی روی این سامانه‌ها تعریف کرده است. خاطره تلخی که از طراحی مدل کسب و کار شتاب و شاپرک در ذهن فعالان شبکه بانکداری و پرداخت کشور باقی مانده، ناشی از پیاده کردن همین سناریو است. بنابراین مبتنی بر این تجربه‌ها، انتظار می‌رود بانک مرکزی برای سیستم در شرف تولد، SHETAB VAS، همین سناریو را پیاده کند.

تمام انتقاداتی که به شتاب و مدل متمرکز آن وارد است، توسط بانک مرکزی نادیده گرفته شده و این نهاد رگولاتوری، در پروژه OTP هم درصدد پررنگ کردن نقش شتاب است. سامانه‌ای که درآمدهای چند هزار میلیاردی برای این بانک به همراه داشته و در عمل به یک ریسک جدی عملیاتی و امنیتی برای سیستم مالی کشور تبدیل شده است. ضمن آنکه در پیاده‌سازی این سیستم، از شبکه پرداخت و قدرت حاکمیتی شاپرک استفاده شده و عملاً بانک‌ها در فرایند این تصمیم‌گیری، حذف شده‌اند.

امیدواریم بانک مرکزی رویه ناصحیح، غیرعادلانه و مضری که در توسعه شبکه شتاب و شاپرک را تجربه کرده، در زمینه SHETAB VAS تکرار نکند و اجازه دهد مدل کسب و کار و شبکه‌ای توزیع شده و کارآمد، مشابه با استانداردهای جهانی، شکل گیرد. همان طور که یک بار در اردیبهشت ماه ۹۸، بانک مرکزی ریسک ناشی از تقلب در رمزهای ایستا را بر دوش بانک‌ها قرار داده است، به گواه همین مسوولیت، باید دست بانک‌ها را در شیوه تأمین امنیت تراکنش‌های مشتری، باز بگذارد.

البته شنیده ها حاکی از این است که این سرویس به صورت رایگان از سوی بانک مرکزی ارایه خواهد شد که البته بسیاری از کارشناسان نیز به دلیل هزینه بر بودن این سرویس از رایگان بودن آن نیز مطمئن نیستند.
منبع: بازار امروز